Gemeinde Feldkirchen-Westerham erhält als erste Gemeinde im Landkreis Rosenheim Zertifizierung für den „sicheren“ Umgang mit sensiblen Daten
Datenschutz und IT-Sicherheit werden angesichts massiver Online-Angriffe auch für öffentliche Verwaltungen immer wichtiger. Angriffe von Hackern und Krypto-Trojaner auf IT-Infrastrukturen sind in der Welt der Informationstechnologie auch bei Behörden an der Tagesordnung. Aber es muss gar nicht der heimtückische Hackerangriff von außen sein, der die Sicherheit sensibler Daten gefährdet. Die Erfahrung zeigt: Die meisten Sicherheitspannen werden durch menschliches Fehlverhalten verursacht.
Gesetzliche Grundlage
Die Gewährleistung der Informationssicherheit ist eine der Kernaufgaben der öffentlichen Verwaltung. Daher verpflichtete das Bayerische eGovernment-Gesetz die Behörden, ein Informationssicherheitsmanagementsystem einzuführen und Informationssicherheitskonzepte zu erstellen. Die Empfehlung des IT-Planungsrates, ISIS12 (Informationssicherheit in 12 Schritten) für kleinere und mittlere Kommunen einzusetzen, wurde durch ein Gutachten des Freistaates Bayern bestätigt und daher von der Gemeinde Feldkirchen-Westerham als einzusetzendes IT-Managementsystem ausgewählt. ISIS12 richtet sich nach der BSI IT-Grundschutzmethode und bietet den Vorteil, dass man mit relativ geringem Aufwand ein hohes Maß an Informationssicherheit erzielen kann. Die Verwaltung der Gemeinde Feldkirchen-Westerham hat dieses hohe Maß nun erreicht.
Ein Prozess von 18 Monaten
Die Gemeinde Feldkirchen-Westerham hat sich mit diesem Thema in den vergangenen eineinhalb Jahren intensiv beschäftigt. Nicht zu unterschätzen war der zeitliche Mehraufwand für die Umsetzung des Konzeptes, welches vom ISB-Team in der Verwaltung trotz des laufenden Tagesgeschäftes und weiterer laufender Projekte fristgerecht erledigt werden musste. Es gab u.a. Schulungen und Mitarbeitersensibilisierungen in Sachen Informationssicherheit, denn nicht nur das System musste in alle Richtungen abgesichert werden, sondern auch die Mitarbeiter, die mit den Daten umgehen. Das reicht von der Aktivierung der Bildschirmsperre beim Verlassen vom Arbeitsplatz bis hin zur unachtsamen Freigabe von Daten und Passwörter, die offen am Schreibtisch liegen gelassen werden.
Zeitgleich wurden Prozesse im Haus verbessert und Konzepte erarbeitet, die IT-Struktur unter die Lupe genommen und ein Notfallmanagement auf die Beine gestellt. Denn der Datenschutz und die Informationssicherheit muss nicht nur im Alltag funktionieren – auch echte Notfall-Szenarien wurden behandelt: Was ist zu tun, wenn das Rathaus mit allen Servern abbrennt? Dafür gibt es nun dokumentierte Lösungen.
Beispiel für einen Prozess
Die Änderung von Passwörtern hier als Beispiel: Es wird genau geregelt, wie ein Passwort auszusehen hat, wie oft es gewechselt werden muss und technisch werden besonders einfache Passwörter ausgeschlossen. Nicht einmal die Administratoren aller IT können die Passwörter im Hintergrund einsehen.
Jeder Prozess wurde bewertet: Wie hoch ist der Schutzbedarf der einzelnen Daten? Wie lange darf der Zugriff auf einzelne Datensätze ausfallen, um den Betrieb der Verwaltung weiter zu gewährleisten? Der Schutzbedarf wurde kategorisiert und die einzelnen Datensätze werden entsprechend gesichert und geschützt. Es wurde auch ein Ist-Soll-Vergleich durchgeführt. Da die Gemeinde schon immer einen sehr hohen Standard hatte und mit Know How und technischer Ausstattung gut versorgt war, musste hier nicht viel nachgebessert werden.
Erstzertifizierung erfolgreich
Federführend bei der Einführung von ISIS12 waren der Informationssicherheitsbeauftragte der Gemeinde Feldkirchen-Westerham Johannes Lang sowie die IT-Beauftragten Thomas Schäfert und Florian Sohler in enger Zusammenarbeit mit Krippel Advisory, Audit & Assurance.
Die abschließende zweitägige Erstzertifizierung des Zertifizierungsverbundes – Rathaus sowie Bauhof mit gemeindliche Wasserversorgung – wurde von der DQS GmbH (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) im Rahmen eines anspruchsvollen Audits unter der Leitung der DQS-Auditorin Sabine Moses im Februar durchgeführt. Der Gemeinde wurde abschließend bestätigt, dass der Informationssicherheitsprozess ganzheitlich und strukturiert implementiert ist.
Jährliche Überprüfung und Ausweitung
Doch damit ist der Prozess längst nicht beendet: Jährlich wird nun überprüft, ob die Informationssicherheitsrichtlinien eingehalten werden – denn die Technik ist schnelllebig und auch im Personal gibt Wechsel. Außerdem werden nach und nach immer mehr der gemeindlichen Einrichtungen in den Zertifizierungsverbund integriert.
In der Öffentlichkeit wird der zeitintensive und arbeitsaufwendige Prozess kaum wahrgenommen – und dennoch ist er für jede einzelne Bürgerin und jeden einzelnen Bürger von hoher Wichtigkeit. Denn es sind ihre Daten, die damit geschützt werden.
Bild v.l: geschäftsführende Beamtin Ines Bertozzi, IT-Betreuer Florian Sohler und Thomas Schäfert, 1. Bürgermeister Hans Schaberl